Перейти к содержанию

Поймали шифровальшик на сервер

Angel6891
 Поделиться

Рекомендуемые сообщения

Angel6891

Angel6891

Опубликовано
Опубликовано (изменено)

Добрый день. На сервере поймали вирус шифровальщик CRYLOCK. 

0100101110100111001
Your files will be lost after
2 days 08:46:52
Decrypt files? Write to this mails: paybackformistake@qq.com or . reserve e-mail paybackformistake@qq.com.
Your unique ID [70124F14-2117AED4] [copy]

В архиве: файл с запросом на отправку денежных средств, зашифрованные файлы и два файла один исходный второй зашифрованный

 

Изменено пользователем Sandor
Убрал вложение с комм. данными
Sandor

Sandor

Опубликовано
Опубликовано

К сожалению, для этой версии вымогателя нет расшифровки.

Если нужна помощь в очистке системы, добавьте логи FRST по правилам раздела.

Sandor

Sandor

Опубликовано
Опубликовано

Логи собирали через терминальную сессию или непосредственно на компьютере?

Если первое, то нужно переделать. Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере. В крайнем случае через TeamViewer.

Sandor

Sandor

Опубликовано
Опубликовано
16 часов назад, Sandor сказал:

нужно переделать

Ждём.

Sandor

Sandor

Опубликовано
Опубликовано
17 часов назад, Sandor сказал:

Собирать логи и выполнять инструкции следует в консоли, т.е. на самом компьютере

Делали именно так?

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKU\S-1-5-21-3419535229-2760994027-3351555740-1001\...\Run: [70124F14-2117AED4hta] => C:\Users\01\AppData\Local\Temp\10\how_to_decrypt.hta <==== ВНИМАНИЕ
Startup: C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2021-09-14] () [Файл не подписан]
2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\how_to_decrypt.hta
2021-09-14 21:55 - 2021-09-14 21:55 - 000006235 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\how_to_decrypt.hta
2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
2021-09-14 21:54 - 2021-09-14 21:54 - 000006235 _____ C:\Users\01\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Downloads\how_to_decrypt.hta
2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Documents\how_to_decrypt.hta
2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\Desktop\how_to_decrypt.hta
2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\Roaming\how_to_decrypt.hta
2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\LocalLow\how_to_decrypt.hta
2021-09-14 21:51 - 2021-09-14 21:51 - 000006235 _____ C:\Users\01\AppData\how_to_decrypt.hta
2021-09-14 21:49 - 2021-09-14 21:49 - 000006235 _____ C:\Users\01\AppData\Local\how_to_decrypt.hta
2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-09-14 21:43 - 2021-09-14 21:43 - 000006235 _____ C:\ProgramData\how_to_decrypt.hta
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
FirewallRules: [{25E7DAEE-B3F7-41CB-985B-7B8993716836}] => (Allow) LPort=475
FirewallRules: [{1B5FFE63-0286-4A12-AE94-921BD729F809}] => (Allow) LPort=475
FirewallRules: [{C6679C08-B7E1-4967-8840-B909F791D6E0}] => (Allow) LPort=1433
FirewallRules: [{350624D7-D1E4-4549-9E45-F99CC5566F3F}] => (Allow) LPort=1541
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Если доступ к портам открывали специально, удалите из скрипта четыре строки.

 

Эту задачу создавали самостоятельно?

Цитата

Tasks\Reboot => C:\Windows\System32\shutdown.exe -r

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Akaruz
      Поймали шифровальщик на сервере
      Автор Akaruz
      Добрый день. Помогите пожалуйста, есть ли возможность расшифровать. Шифровальщик вроде BlackBit. В корне диска С: лежали еще 2 файла (я так понимаю они важны):
      Cpriv.BlackBit и Cpriv2.BlackBit - поместил их в отдельный архив, текст вымогальщика ниже:
       
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: panda2024@cock.lu
      In case of no answer in 24h, send e-mail to this address: panda2024@cock.lu
      You can also contact us on Telegram: @Panda_decryptor
      All your files will be lost on 11 июля 2024 г. 17:29:46.
      Your SYSTEM ID : 46BC2737
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
      Encrypted_files.zip FRST_LOGS.zip файлы_с_диска_С.zip
    • slot9543
      Поймали шифровальщика на сервер
      Автор slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • umid
      Сервер поймал Щифровальщика
      Автор umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • Samoxval
      Поймали шифровальшика файлы с расширением .nigra
      Автор Samoxval
      Поймали шифровальщик. Расширение .nigra
      Скорее всего по рдп, сам вирус не нашли.
      Установили новый диск и на него накатили чистую виндовс, старые 2 диска осталис подключены как второстепенные, систему на них не трогали.
      Если есть возможность нам спасти файлы (несколько из них приложил) за месяц. Тоесть это файлы кассовой смены 1 файл= 1 кассовая смена. Более нам ничего не требуется с этих дисков. Либо база sql там эти все смены хранятся.
      Зашифрованые файлы.rar
      Первоначальное расширение файлов .udb
       
    • LeraB
      Поймали шифровальщика на несколько серверов
      Автор LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
×
×
  • Создать...